Claude Code被曝在产品里埋了一套识别中国用户的机制,而且手法极其隐蔽。
具体是怎么操作的:首先读你电脑的时区,然后查你用的API中转地址,内置了147个被封的域名黑名单——百度、阿里、字节、DeepSeek、智谱,甚至阿里和百度的内网域名都在里面。如果命中,就在每次请求的系统提示里做两处肉眼看不见的修改。
日期分隔符从连字符2026-06-30变成斜杠2026/06/30。Today's这个单词里的单引号,被换成肉眼完全分不出来的不同Unicode字符,不同字符编码了"命中了哪个名单"。整套操作零额外网络请求、不留下任何可疑流量,就是隐写术的味道。
更让人难受的是,真正搞大规模转售和模型蒸馏的人很好绕过这套机制——改个时区换条线路就行。但正常付费的普通开发者反而被精准打击,百人规模的公司团灭的都不止一家。
Anthropic在安全政策文档里标榜"透明"和"可信",结果产品里藏了这么一手。最离谱的是这件事被曝光后,Claude Code的负责人刚刚承认确实留了后门,说会在明天回滚。
我也把我本地的Claude Code用Codex逆向验证了一遍,答案是真的。真是十足的...小家子气....
发布于 四川
